Microsoft semble incapable de corriger une faille de sécurité zero-day dont la firme a connaissance depuis environ sept mois.
La vulnérabilité est de type « élévation de privilèges dans le service Profil utilisateur de Windows » et permet à des utilisateurs d'obtenir des droits d'administrateur. Celle-ci sévit à la fois sur Windows 10, Windows 11 et Windows Server.
Deux patchs de sécurité… qui ne fonctionnent pas
La faille de sécurité a été découverte à l'été 2021 par le chercheur Abdelhamid Naceri, qui en a informé Microsoft. La firme de Redmond a déployé un premier patch correctif en août 2021, mais celui-ci n'a pas réussi à résoudre entièrement le problème.
Une nouvelle mise à jour a alors été rendue disponible en janvier 2022, mais a également constitué un échec, Abdelhamid Naceri la qualifiant de tentative encore moins fructueuse que la première. Pire, avec ce second patch, Microsoft a rendu inopérable un patch non officiel développé par l'organisation indépendante 0patch, qui lui semblait fonctionner correctement.
0patch a dû publier en mars un nouveau correctif compatible avec l'update de janvier. De son côté, Microsoft assure auprès de Bleeping Computer que « des actions vont être menées pour garantir la sécurité des utilisateurs ». Reste à savoir quand, voilà déjà sept mois que dure cette situation.
Source : Bleeping Computer